网络安全评估方法及电子设备技术

本发明专利技术是关于一种网络安全评估方法及电子设备，涉及网络安全领域，本发明专利技术包括：从预设时间段内网络产生的告警信息中，提取多个源IP地址和目的IP地址；构建源IP地址对应的结构向量，以及构建源IP地址对应的属性向量；构建源IP地址作为用户业务的发起地址的情况下的参考结构向量以及参考属性向量；将两个结构向量进行对比得到对比结果，两个属性向量进行对比得到对比结果，根据得到的两个对比结果，确定源IP地址的威胁程度值。由于本发明专利技术实施例通过源IP地址为用户业务的发起地址的情况下的信息与实际的信息之间进行对比，而非采用容易导致误报的方式确定威胁程度，这样降低了确定的IP地址的威胁程度的误报率。

【技术实现步骤摘要】
网络安全评估方法及电子设备
本专利技术涉及网络安全领域，尤其涉及一种网络安全评估方法及电子设备。
技术介绍
企业为了更好地满足信息交流与资源共享，提高工作效率，会建立自己的内部信息网络。然而企业内部网络信息包含很多内部机密和重要文件资料,它的安全性对企业来说意义重大。由于计算机网络拥有互联性、开放性的特点，企业利用计算机网络进行企业信息的管理，将会面临系统内部和外部的双重威胁，给企业的信息安全带来危害。采用全流量分析平台、IPS(IntrusionPreventionSystem，入侵防御系统)/IDS(intrusiondetectionsystem，入侵检测系统)、WAF(WebApplicationFirewall，网站应用级入侵防御系统)进行网络检测，对于同一个网络攻击行为，会在上述检测设备上产生多条告警信息。目前，会根据产生的多个条告警信息中IP地址的角色，找到IP地址作为网络异常行为的发起者的数量，直接通过当前告警信息确定出告警信息中IP地址(InternetProtocolAddress，互联网协议地址)的威胁情况。然而，告警信息是在进行网络攻击时违反检测设备设定的条件而产生的，同时在进行用户业务时也会产生告警信息，在网络攻击时也会产生告警信息，若单独以当前得到的告警信息分析IP地址的角色，容易因为用户业务的发起地址与网络攻击的发起地址混淆，导致误报。
技术实现思路
本专利技术提供一种网络安全评估方法及电子设备，非采用容易导致误报的方式确定威胁程度，而是通过源IP地址为用户业务的发起地址的情况下的信息与实际的信息之间进行对比，确定源IP地址的威胁程度，降低误报率。第一方面，本专利技术实施例提供的一种网络安全评估方法，包括：从预设时间段内网络产生的告警信息中，提取多个源IP地址和目的IP地址；针对每个源IP地址，根据源IP地址与每个目的IP地址之间发生网络异常的概率，构建所述源IP地址对应的结构向量，以及根据所述源IP地址所属的告警信息确定的源IP地址属性信息，构建所述源IP地址对应的属性向量；将所述源IP地址对应的结构向量与属性向量输入到结构重构模型中，得到所述源IP地址作为用户业务的发起地址的情况下构建的参考结构向量，以及将所述源IP地址对应的结构向量与属性向量输入到属性重构模型中，得到所述源IP地址作为用户业务的发起地址的情况下构建的参考属性向量；将所述参考结构向量与所述结构向量进行对比得到对比结果，以及将所述参考属性向量与所述属性向量进行对比得到对比结果，根据得到的两个对比结果，确定所述源IP地址的威胁程度值。上述方法，通过当前产生的告警信息中的源IP地址与每个目的IP地址之间发生网络异常的概率，构建源IP地址对应的当前的结构向量，以及构建当前的属性向量，并在满足当前告警信息中源IP地址对应的结构和属性下，构建源IP地址仅为用户业务的发起地址的情况下的参考结构向量，以及参考属性向量，通过参考结构向量与实际的结构向量对比的结果，参考属性向量与实际的属性向量对比的结果，分析源IP除了作为用户业务的发起地址之外，是否还是网络攻击的发起地址，本专利技术通过与正常的用户业务进行对比确定IP地址作为网络攻击的发起地址的可能性，能够避免直接通过告警信息确定IP地址的角色而容易因为用户业务的发起地址与网络攻击的发起地址混淆导致误报的情况，从而能够降低误报率。在一种可能的实现方式中，通过以下方式确定源IP地址与每个目的IP地址之间发生网络异常的概率：由预设时间段内网络生成的告警信息，构建多个第一告警序列；其中，所述第一告警序列由多个包含同一个源IP地址的告警信息组成，或由包含同一个源IP地址和同一个目的IP地址的告警信息组成；将所述多个第一告警序列输入统计模型中，确定每两个告警信息之间的转移概率；根据每两个告警信息之间的转移概率，确定预设时间段内网络生成的每个告警信息的生成概率；针对每个包含同一个源IP地址和同一个目的IP地址的第一告警序列，根据第一告警序列中所有告警信息的生成概率，确定第一告警序列的生成概率；将第一告警序列的生成概率作为所述第一告警序列中的源IP地址与目的IP地址之间发生网络异常的概率。上述方法，由于告警序列中表明告警信息之间的转移关系，所以将不同类型的告警序列输入到统计模型中得到转移概率，能够提高转移概率的准确性，同时，根据转移概率确定每个告警信息的生成概率，从而得到源IP地址与目的IP地址发生网络异常的概率，得到以源IP地址作为中心的与目的IP之间出现该种结构的可能性，这样考虑告警信息之间的上下文信息，即告警信息与其他告警信息之间的因果关系，使得确定出源IP地址的结构关系与实际的结构关系更加符合，从而降低误报率。在一种可能的实现方式中，所述根据每两个告警信息之间的转移概率，确定预设时间段内网络生成的每个告警信息的生成概率，包括：采用随机游走的方式，对多个第一告警序列中的告警信息重新划分为多个第二告警序列；将第二告警序列中每两个告警信息之间的转移概率，作为所述每两个告警信息采用向量表示时两个向量之间的距离；根据所述距离确定每个告警信息生成概率的向量表示。上述方法，通过随机游走的方式确定出多个告警信息的关联链，即得到每个告警信息的上下文信息，从而确定出每个告警信息的生成概率，进一步的确定出源IP地址的结构关系，这样确定的结构关系与实际的结构关系更加符合，从而降低误报率。在一种可能的实现方式中，根据第一告警序列中所有告警信息的生成概率，确定第一告警序列的生成概率，包括：将第一告警序列中所有告警信息生成概率的向量表示输入到句向量生成模型中，确定第一告警序列的生成概率的向量表示。上述方法，通过句向量生成模型以多个告警信息作为词，学习第一告警序列作为句时的特征，得到向量更加符合第一告警序列中源IP地址到目的IP地址的结构特点。在一种可能的实现方式中，所述结构重构模型包括图卷积神经模型和链路预测模型；所述属性重构模型包括图卷积神经模型和属性预测模型；将所述源IP地址对应的结构向量与属性向量输入到结构重构模型中，得到所述源IP地址作为用户业务的发起地址的情况下构建的参考结构向量，以及将所述源IP地址对应的结构向量与属性向量输入到属性重构模型中，得到所述源IP地址作为用户业务的发起地址的情况下构建的参考属性向量，包括：将所述源IP地址对应的结构向量与属性向量输入到图卷积神经模型中，以得到源IP地址的生成向量；其中所述源IP地址的生成向量表示所述预设时间段内产生源IP地址的概率；将所述源IP地址的生成向量输入到链路预测模型中，以得到所述源IP地址作为用户业务的发起地址的情况下构建的参考结构向量；将所述源IP地址的生成向量输入到属性预测模型中，以得到所述源IP地址作为用户业务的发起地址的情况下构建的参考属性向量。上述方法，图卷积神经模型考虑高阶节点的邻近性，从而减轻了节点间的链路之外的网络稀疏性问题。同时，通过图卷积神经模本文档来自技高网...

【技术保护点】
1.一种网络安全评估方法，其特征在于，包括：/n从预设时间段内网络产生的告警信息中，提取多个源IP地址和目的IP地址；/n针对每个源IP地址，根据源IP地址与每个目的IP地址之间发生网络异常的概率，构建所述源IP地址对应的结构向量，以及根据所述源IP地址所属的告警信息确定的源IP地址属性信息，构建所述源IP地址对应的属性向量；/n将所述源IP地址对应的结构向量与属性向量输入到结构重构模型中，得到所述源IP地址作为用户业务的发起地址的情况下构建的参考结构向量，以及将所述源IP地址对应的结构向量与属性向量输入到属性重构模型中，得到所述源IP地址作为用户业务的发起地址的情况下构建的参考属性向量；/n将所述参考结构向量与所述结构向量进行对比得到对比结果，以及将所述参考属性向量与所述属性向量进行对比得到对比结果，根据得到的两个对比结果，确定所述源IP地址的威胁程度值。/n

【技术特征摘要】
1.一种网络安全评估方法，其特征在于，包括：
从预设时间段内网络产生的告警信息中，提取多个源IP地址和目的IP地址；
针对每个源IP地址，根据源IP地址与每个目的IP地址之间发生网络异常的概率，构建所述源IP地址对应的结构向量，以及根据所述源IP地址所属的告警信息确定的源IP地址属性信息，构建所述源IP地址对应的属性向量；
将所述源IP地址对应的结构向量与属性向量输入到结构重构模型中，得到所述源IP地址作为用户业务的发起地址的情况下构建的参考结构向量，以及将所述源IP地址对应的结构向量与属性向量输入到属性重构模型中，得到所述源IP地址作为用户业务的发起地址的情况下构建的参考属性向量；
将所述参考结构向量与所述结构向量进行对比得到对比结果，以及将所述参考属性向量与所述属性向量进行对比得到对比结果，根据得到的两个对比结果，确定所述源IP地址的威胁程度值。


2.根据权利要求1所述的网络安全评估方法，其特征在于，通过以下方式确定源IP地址与每个目的IP地址之间发生网络异常的概率：
由预设时间段内网络生成的告警信息，构建多个第一告警序列；其中，所述第一告警序列由多个包含同一个源IP地址的告警信息组成，或由包含同一个源IP地址和同一个目的IP地址的告警信息组成；
将所述多个第一告警序列输入统计模型中，确定每两个告警信息之间的转移概率；
根据每两个告警信息之间的转移概率，确定预设时间段内网络生成的每个告警信息的生成概率；
针对每个包含同一个源IP地址和同一个目的IP地址的第一告警序列，根据第一告警序列中所有告警信息的生成概率，确定第一告警序列的生成概率；将第一告警序列的生成概率作为所述第一告警序列中的源IP地址与目的IP地址之间发生网络异常的概率。


3.根据权利要求2所述的网络安全评估方法，其特征在于，所述根据每两个告警信息之间的转移概率，确定预设时间段内网络生成的每个告警信息的生成概率，包括：
采用随机游走的方式，对多个第一告警序列中的告警信息重新划分为多个第二告警序列；
将第二告警序列中每两个告警信息之间的转移概率，作为所述每两个告警信息采用向量表示时两个向量之间的距离；
根据所述距离确定每个告警信息生成概率的向量表示。


4.根据权利要求3所述的网络安全评估方法，其特征在于，根据第一告警序列中所有告警信息的生成概率，确定第一告警序列的生成概率，包括：
将第一告警序列中所有告警信息生成概率的向量表示输入到句向量生成模型中，确定第一告警序列的生成概率的向量表示。


5.根据权利要求1～4任一所述的网络安全评估方法，其特征在于，所述结构重构模型包括图卷积神经模型和链路预测模型；所述属性重构模型包括图卷积神经模型和属性预测模型；
将所述源IP地址对应的结构向量与属性向量输入到结构重构模型中，得到所述源IP地址作为用户业务的发起地址的情况下构建的参考结构向量，以及将所述源IP地址对应的结构向量与属性向量输入到属性重构模型中，得到所述源IP地址作为用户业务的发起地址的情况下构建的参考属性向量，包括：
将所述源IP地址对应的结构向量与属性向量输入到图卷积神经模型中，以得到源IP地址的生成向量；其中所述源IP地址的生成向量表示所述预设时间段内产生源IP地址的概率；
将所述源IP地址的生成向量输入到链路预测模型中，以得到所述源IP地址作为用户业务的发起地址的...

【专利技术属性】
技术研发人员：薛见新，刘文懋，陈磊，吴复迪，
申请(专利权)人：绿盟科技集团股份有限公司，北京神州绿盟科技有限公司，
类型：发明
国别省市：北京;11